Про аутентификацию - О работе

В общем работаю в аутсорс-конторе. второй раз (у второго по счету клиента) получал пароль следующим образом.
звонишь в эти их америки по скайп, представляешься, называешь свой айди, своего менеджера, свою локацию, они там что-то шуршат по сусекам, и диктуют временный пароль.
странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс.
а так вероятность утечки куда выше кмк.

Здравствуйте, undo75, Вы писали:

Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей

H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей

если другу, можно завести вербально общий пароль, и потом архивировать с этим паролем конфиденциальные данные. тут уж гарантия

Здравствуйте, Homunculus, Вы писали:

H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей

Мне на рабочую почту присылали запаролленный архив с паролями. А пароль к архиву через телефон.
Но это не общая практика, а админ толковый.

Здравствуйте, Homunculus, Вы писали:

H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей

Наверное, мало кто из персонала может справиться с соединением этих двух частей назад.

Казалось бы, ИТ-ников так можно и набирать: присылаешь им персональный пароль в двух частях. Кто сумел залогиниться, тот и принят. Претендентам на сеньерские должности можно одну часть посылать в виде base64, а другую — UUENCODE.

Здравствуйте, Pzz, Вы писали:

Pzz>Наверное, мало кто из персонала может справиться с соединением этих двух частей назад.

зато блин с поиском велосипедов и пешеходных переходов все должны справляться!!!

Здравствуйте, undo75, Вы писали:

U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс.
U>а так вероятность утечки куда выше кмк.

Эта практика точно лучше пароля на корп. почту, т.к. знаешь его только ты, а не ты и админы почты. Если звонок с видео и у них есть твоя фотка, то я бы назвал этот способ безопасным — 2FA по биометрии и секрету (айди и фамилия менеджера)

Здравствуйте, undo75, Вы писали:

U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы?

Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.

scf>Эта практика точно лучше пароля на корп. почту, т.к. знаешь его только ты, а не ты и админы почты. Если звонок с видео и у них есть твоя фотка, то я бы назвал этот способ безопасным — 2FA по биометрии и секрету (айди и фамилия менеджера)

а как бы админы это узнали? не админ, поэтому должно быть глупый вопрос, на эксчендж сервере можно вот так запросто прочитать чью-то переписку, просто зайдя под админом? если так, что-то уж подозрительно редко происходят громкие утечки данных.

п.с. встречал еще такую практику, когда на корпоративную почту присылают первым письмом логин, следующим пароль. тоже не вижу смысла. перехватили первое, в чем проблема перехватить второе?

I>Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.

достаточно сфоткать табличку проходя мимо монитора с айдишниками и т.п.. и позвонить сможет кто угодно и получить пароль.

Здравствуйте, undo75, Вы писали:

I>>Наоборот, очень даже секьюрно. Что бы взломать схему надо прослушать сообщение, что довольно затруднительн. А вот временный пароль по почте как раз несекьюрно.

U>достаточно сфоткать табличку проходя мимо монитора с айдишниками и т.п.. и позвонить сможет кто угодно и получить пароль.

Сфоткать какие то айдишники можно, а сфоткать готовый пароль в емейле никак нельзя, да?

Обычно во время звонка происходит процедура аутентификации. Для того, что бы её обойти, надо гораздо больше, чем сфоткать айдишники — надо предварительно заполучить доступ к определенным сведениям, которых в публичном доступе никогда не бывает.

Здравствуйте, undo75, Вы писали:

U>В общем работаю в аутсорс-конторе. второй раз (у второго по счету клиента) получал пароль следующим образом.
U>звонишь в эти их америки по скайп, представляешься, называешь свой айди, своего менеджера, свою локацию, они там что-то шуршат по сусекам, и диктуют временный пароль.

Оно не всегда так, но часто процесс одинаковый для онсайта и для оффсайта (аутсорса). Когда берут на работу онсайт — куда ему пароль слать? На домашнюю почту чтоли? Они точно так же звонят, им точно так же диктуют.

U>странная какая-то практика. имхо нифига не секьюрно. почему не прислать временный пароль на корпоративную почту самой аутсорс конторы? туда абы кто доступа не имеет, как на общественные почтовые сервисы типа яндекс.

А откуда они знают, что корпоративная почта аутсорс конторы — это не просто красивый домен, прикрученный к тому же яндексу? Откуда клиент знает, что внутри вашей компании политики безопасности соответствуют их политикам? Может у вас там все с паролем qwerty живут — и никто не чешется по этому поводу? Если это прям вопрос жизни и смерти для успеха проекта, клиент вам даст свои требования по безопасности, админы могут попытаться их выполнить, вплоть до отдельного помещения с опечатанными компами и отдельным физическим каналом, далее придёт аудит, посмотрит, и если результат будет ок — можно пользоваться корпоративной почтой с этих конкретных компов. Я за 10 лет аутсорса это всего 1 раз видел и по-моему так и не дождался чем всё закончилось.

Здравствуйте, Homunculus, Вы писали:

H>Здравствуйте, undo75, Вы писали:

H>Почему-то никогда не встречал разделение пароля на две части. Например первые пять символов на почту, вторые пять символов на смс. Сикурности дофига, но проще ж гораздо. Я так другу пересылал пару своих паролей

В копилку. Написать пароль на бумажке, сфоткать, прислать ссылку на фото.
(а в логах вебсервера посмотреть склько раз и откуда её скачают).

	От:	undo75
	Дата:	01.02.22 07:18
	Оценка:

	От:	Homunculus
	Дата:	01.02.22 07:21
	Оценка:

	От:	undo75
	Дата:	01.02.22 07:24
	Оценка:

	От:	alzt
	Дата:	01.02.22 07:26
	Оценка:

От:	Pzz	https://github.com/alexpevzner
Дата:	01.02.22 07:28
Оценка:

От:	Ikemefula	http://blogs.rsdn.org/ikemefula
Дата:	02.02.22 10:27
Оценка:

От:	fk0	https://fk0.name
Дата:	08.02.22 11:08
Оценка:

	От:	rosencrantz
	Дата:	07.02.22 06:39
	Оценка: